Artículo 36 del RGPD: Consulta previa a la autoridad de control

El artículo 36 del RGPD exige que el responsable del tratamiento de datos consultar a la autoridad supervisora (p. ej. CNIL) antes de continuar con el tratamiento, cuando La evaluación de impacto (AIPD) revela un alto riesgo no mitigado por los derechos y libertades de los interesados.

Explicación del artículo 36 del RGPD

Cuando las medidas previstas en el AIPD no sean suficientes para mitigar un riesgo elevado, el responsable del tratamiento deberá:

Consultar a la autoridad supervisora antes de implementar el tratamiento ;
Proporcionarles toda la información útil (análisis de impacto, medidas planificadas, datos de contacto del DPO, etc.);
Espere posibles recomendaciones o incluso la prohibición del tratamiento en determinados casos graves.

La autoridad tiene 8 semanas para tomar una decisión (prorrogable por 6 semanas).

¿Por qué es importante este artículo para su cumplimiento del RGPD?

Permite d’anticipar riesgos importantes relacionados con el procesamiento de datos y para evitar futuras violaciones o sanciones. La consulta garantiza una marco legal fortalecido y asegura tratamientos innovadores o sensibles.

¿Cómo cumplir con el artículo 36 del RGPD?

Integrar sistemáticamente un análisis de riesgos antes de cualquier proyecto de tratamiento sensible;
Si no se puede reducir el alto riesgo, consultar a la CNIL antes de su aplicación;
Elaborar un expediente completo y documentado para enviarlo a la autoridad;
Siga las recomendaciones y conserve los intercambios para su documentación del RGPD.

Ejemplos de aplicación del artículo 36 del RGPD

Una nueva empresa que desarrolla una herramienta de reconocimiento facial no logra mitigar ciertos riesgos: consulta a la CNIL;
Una empresa planea recopilar automáticamente datos biométricos confidenciales: se requiere consulta previa;
Una autoridad pública establece una referencia cruzada masiva de archivos sociales sin garantías suficientes: se solicita la autoridad.